Acord de tractament de dades d’acord amb el RGPD

Acord de tractament de dades, d’acord amb el RGPD, entre el Responsable del Tractament i l’Encarregat del Tractament (B2Brouter Global S.L.)

___________________

Preàmbul

Aquest acord estableix les responsabilitats de les parts contractants pel que fa a la protecció de les dades personals. Aquestes responsabilitats sorgeixen de tots els contractes existents i futurs que impliquin el tractament de dades personals i tinguin un contingut contractual similar, com ara la creació i transmissió de documents o factures electròniques mitjançant diferents xarxes, formats i estàndards. Els detalls específics es definiran segons la distribució o assignació de responsabilitats establerta.

Aquest acord s’aplicarà a totes les activitats relacionades amb aquests contractes en què els empleats del Contractista o els tercers processadors designats (d’ara endavant, “Subcontractistes”) tractin dades personals del Client.

1. Objecte de l’Acord

Aquest acord constitueix una part integral del contracte principal.

L’Encarregat tractarà les dades personals per compte del Responsable.

La finalitat del tractament de dades personals es detalla en els contractes corresponents. En essència, l’Encarregat realitza les activitats següents:

  • Allotjament d’infraestructures informàtiques
  • Desenvolupament i implementació de programari
  • Activitats de suport i servei per a aplicacions informàtiques

Durada del tractament de dades:

El termini d’aquest Acord es regirà per la durada del Contracte Principal, llevat que els termes d’aquest Acord imposin obligacions més enllà d’aquest període.

Un cop finalitzada la prestació dels serveis coberts per aquest contracte, si l’Encarregat ha emmagatzemat dades personals, o qualsevol altre document i/o suport proporcionat per qualsevol mitjà, les retornarà, eliminarà o lliurarà a un nou Encarregat, a elecció del Responsable, incloent qualsevol còpia existent. L’Encarregat emetrà un certificat de devolució o destrucció si així ho requereix el Responsable. L’eliminació de les dades no es durà a terme si la seva conservació és requerida per una obligació legal, en aquest cas, l’Encarregat procedirà a la custòdia de les dades mitjançant el bloqueig i limitació del seu tractament mentre puguin derivar-se responsabilitats de la seva relació amb el Responsable del Tractament. L’Encarregat del Tractament mantindrà el deure de secret i confidencialitat de les dades fins i tot després de la finalització de la relació objecte d’aquest contracte.

Categoria de dades:

  • Personals: nom, cognoms, adreça postal, número de telèfon.
  • Dades laborals: departament al qual pertany, número personal.
  • Registres d’accés
  • Altres:

Categoria d’interessats:

  • Directius, empleats executius
  • Empleats, inclosos voluntaris, estudiants, agents, treballadors temporals.
  • Clients i usuaris.
  • Contactes comercials
  • Proveïdors
  • Contractistes i els seus empleats.

Aquest Acord regula les mesures que han de ser acordades entre el Responsable i l’Encarregat, per tal de protegir les dades personals d’acord amb l’article 28 del RGPD.

2. Drets i obligacions del Responsable del Tractament

El RESPONSABLE garanteix que les dades proporcionades a l’ENCARREGAT han estat obtingudes legalment i que són adequades, pertinents i limitades a les finalitats del tractament.

El RESPONSABLE posarà a disposició de l’ENCARREGAT tota la informació necessària per a la realització dels serveis objecte de l’encàrrec. El RESPONSABLE adverteix a l’ENCARREGAT que, si determina per si mateix les finalitats i mitjans del tractament, serà considerat Responsable del Tractament i quedarà subjecte al compliment de les disposicions de la normativa aplicable en vigor com a tal.

El Responsable informarà immediatament a l’Encarregat si detecta errors o irregularitats en el tractament de dades personals realitzat per aquest en el seu nom. Per la seva banda, l’Encarregat haurà d’informar immediatament al Responsable de qualsevol correcció realitzada o acció necessària per corregir aquests errors o irregularitats.

Si una persona interessada presenta una reclamació a una de les parts contractants d’acord amb l’article 82 del RGPD en relació amb el tractament de dades personals sota aquest Acord, la part afectada haurà de notificar-ho immediatament a l’altra. Ambdues parts es comprometen a col·laborar mútuament en la defensa davant d’aquesta reclamació.

3. Obligacions de l’Encarregat del Tractament

3.1. L’Encarregat tractarà les dades personals per compte del Responsable, d’acord amb les disposicions del Contracte i segons s’especifica en aquest Acord.

Tanmateix, si l’Encarregat determina per si mateix les finalitats i mitjans del tractament de les dades personals, incomplint les instruccions del Responsable, assumirà la condició de Responsable. En aquest cas, serà plenament responsable d’aquest tractament, amb totes les obligacions corresponents establertes al RGPD i altres normatives aplicables.

3.2. L’Encarregat només podrà tractar les dades personals de les persones interessades dins de l’àmbit de les tasques especificades en el Contracte i en aquest Acord, i segons les instruccions documentades del Responsable. Això serà així llevat que hi hagi una obligació legal que requereixi el contrari, conforme a l’article 28.3.a del RGPD. En aquest cas, l’Encarregat informarà el Responsable d’aquesta exigència legal, llevat que estigui prohibit per llei.

3.3. L’Encarregat haurà d’organitzar la seva estructura interna de manera que compleixi amb els requisits específics de protecció de dades dins de l’àmbit de les seves responsabilitats. Adoptarà les mesures tècniques i organitzatives necessàries per protegir adequadament les dades del Responsable, conforme als requisits de l’article 32 del RGPD.

Aquestes mesures inclouran garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes i serveis vinculats al tractament de dades, inclòs a llarg termini. També implementarà mesures per restaurar la disponibilitat i l’accés a les dades personals immediatament després d’un incident físic o tècnic. A més, establirà procediments per revisar periòdicament l’eficàcia d’aquestes mesures per garantir la seguretat del tractament.

Les mesures implementades inclouran, si cal, la pseudonimització i el xifratge de dades personals per garantir un nivell de seguretat adequat. Les mesures tècniques i organitzatives adoptades per l’Encarregat, com es descriu a l’Annex 1, han estat verificades pel Responsable, que n’ha confirmat el caràcter vinculant. El Responsable és responsable de garantir que aquestes mesures compleixin els requisits específics de protecció de dades.

3.4. L’Encarregat garantirà la implementació de totes les mesures definides en aquest Acord per al tractament de dades personals. Informarà el Responsable de qualsevol nova tecnologia coneguda que pugui millorar la protecció de les dades personals.

3.5. L’Encarregat redactarà, actualitzarà i mantindrà una llista de totes les categories d’activitats de tractament realitzades per compte del Responsable, incloent-hi les especificacions requerides per l’article 30.2 del RGPD.

3.6. L’Encarregat donarà suport al Responsable, segons l’article 28.3.e del RGPD, en la mesura que sigui possible, mitjançant la implementació de mesures tècniques i organitzatives apropiades per ajudar-lo a complir les seves obligacions de resposta a les persones interessades, segons el Capítol III del RGPD. Aquest suport pot incloure proporcionar informació i accés a les persones interessades, correcció o eliminació de dades, restricció del tractament, dret a l’oblit, portabilitat de dades i oposició al tractament.

L’Encarregat també donarà suport al Responsable, conforme a l’article 28.3.f del RGPD, per garantir el compliment dels requisits de seguretat establerts a l’article 32 del RGPD, així com facilitar la gestió de notificacions de violacions de seguretat segons l’article 33 i, si escau, la comunicació a les persones interessades d’acord amb l’article 34 del RGPD. Així mateix, proporcionarà al Responsable, a petició seva, les dades i documents necessaris per a aquest propòsit.

També ajudarà en l’elaboració d’avaluacions d’impacte en protecció de dades segons l’article 35 del RGPD i, si escau, en les consultes prèvies amb autoritats de control segons l’article 36. Facilitarà al Responsable els detalls i documents requerits, quan sigui necessari.

3.7. L’Encarregat designarà un delegat de protecció de dades i un punt de contacte per atendre les consultes del Responsable sobre qüestions relacionades amb la protecció de dades segons el Contracte i aquest Acord. Qualsevol canvi en la persona de contacte s’haurà de notificar immediatament al Responsable.

3.8. L’Encarregat no podrà utilitzar les dades personals per a finalitats diferents a les establertes pel Responsable, ni conservar-les més enllà del termini legalment establert. No es podran crear còpies o duplicats de les dades sense el coneixement i aprovació del Responsable.

3.9. L’Encarregat garantirà, d’acord amb les instruccions escrites del Responsable, els drets de les persones interessades, inclosos la supressió (dret a l’oblit), rectificació, portabilitat, limitació del tractament, oposició i accés, i ho farà sense demores indegudes.

3.10. L’Encarregat haurà de notificar immediatament al Responsable o al seu Delegat de Protecció de Dades en els casos següents:

  • Si les mesures de seguretat implementades per l’Encarregat no compleixen els requisits establerts en aquest Acord.
  • Si es produeixen alteracions significatives en els procediments operatius.
  • En cas d’incompliments de la normativa de protecció de dades o de les disposicions d’aquest Acord, per part de l’Encarregat o dels seus treballadors.
  • Davant de qualsevol sospita de violació de dades personals o irregularitat en el seu tractament.

L’Encarregat haurà d’adoptar mesures de seguretat adequades, segons les instruccions del Responsable, per minimitzar els possibles efectes perjudicials sobre les persones interessades.

Això inclou assegurar el compliment de les obligacions del Responsable derivades dels articles 33 i 34 del RGPD, en relació amb la notificació de violacions de dades a les autoritats de control i, si escau, a les persones afectades. L’Encarregat es compromet a col·laborar activament amb el Responsable per facilitar el compliment d’aquestes obligacions.

L’Encarregat haurà de notificar qualsevol violació de la seguretat de les dades personals al Responsable mitjançant correu electrònic a gdpr@b2brouter.net. La notificació haurà d’incloure, com a mínim, la informació següent:

  • Descripció de la violació: Una explicació de la naturalesa de la violació, incloent les categories de dades afectades i el nombre aproximat de persones i conjunts de dades compromesos.
  • Dades de contacte: Nom i dades de contacte d’una persona que pugui proporcionar informació addicional.
  • Conseqüències probables: Descripció de les possibles repercussions per a les persones afectades.
  • Mesures adoptades: Relació de mesures preses o previstes per corregir o mitigar els efectes de la violació.

Aquest procés garanteix una comunicació clara i eficaç, permetent al Responsable complir amb les seves obligacions legals segons el RGPD.

3.11. El Responsable té dret a inspeccionar les mesures tècniques i organitzatives que hagi d’adoptar l’Encarregat, segons l’establert a la clàusula 3.3, abans de l’inici de qualsevol tractament de dades. A més, podrà verificar aquestes mesures de manera periòdica. Les inspeccions podran ser realitzades directament pel Responsable o per un tercer designat en el seu nom, per garantir el compliment de la normativa de protecció de dades.

3.12. L’Encarregat haurà d’informar immediatament al Responsable dels casos següents:

  • Actuacions de l’autoritat de control, d’acord amb els articles 55 i següents i 31 del RGPD, així com qualsevol investigació per part de l’autoritat de control a l’Encarregat, com s’estableix als articles 58.2 i 83 i següents del RGPD.
  • Sol·licituds dels interessats relacionades amb l’exercici dels seus drets contemplats al Capítol III del RGPD, com ara els drets de rectificació, supressió, limitació del tractament, accés, portabilitat de les dades i oposició. L’Encarregat haurà de transmetre aquestes sol·licituds al Responsable sense dilació i col·laborar en la seva gestió.

L’Encarregat no està autoritzat, sense instruccions prèvies per escrit del Responsable, a facilitar informació als interessats o a tercers sobre el tractament de dades personals, d’acord amb l’article 15 del RGPD.

3.13. Les dades personals utilitzades amb finalitats de prova s’hauran de conservar de forma segura. Aquestes dades no seran accessibles fins que el Responsable indiqui a l’Encarregat que procedeixi a la seva destrucció, supressió o devolució. L’eliminació o destrucció de les dades haurà de ser confirmada per escrit al Responsable, indicant la data de l’acció.

3.14. En finalitzar aquest Acord, l’Encarregat haurà de retornar al Responsable, o si aquest ho sol·licita, suprimir de manera irrevocable tota la informació, documentació i dades proporcionades pel Responsable, incloses dades personals i resultats de treball generats en relació amb aquest Acord, sempre que no hi hagi una obligació legal de conservar-les conforme a la normativa de la UE o dels estats membres (vegeu Art. 28, paràgraf 3, lletra g del RGPD). L’Encarregat haurà de confirmar al Responsable, en un termini màxim de 30 dies des de la petició, la devolució, destrucció, supressió i bloqueig de tota la informació i registres. Aquest mateix compromís s’aplicarà als Subencarregats.

3.14.1. L’Encarregat només podrà subcontractar el tractament de dades a tercers amb el consentiment previ per escrit del Responsable. Els subencarregats designats per l’Encarregat hauran de figurar a l’Annex 2 d’aquest Acord. Per als subencarregats indicats a l’Annex 2, l’autorització es considerarà atorgada amb la signatura d’aquest Acord. L’Encarregat haurà de notificar al Responsable qualsevol canvi, incorporació o substitució de subencarregat amb antelació, oferint al Responsable l’oportunitat d’oposar-se al canvi.

3.14.2. El Responsable haurà de vetllar perquè el subencarregat sigui escollit amb cura, tenint en compte l’adequació de les mesures tècniques i organitzatives aplicades per aquest. L’Encarregat haurà d’assegurar que el contracte amb el subencarregat (en allò relatiu al tractament de dades personals) contempli condicions substancialment equivalents i, en qualsevol cas, no menys exigents que les d’aquest Acord.

3.14.3. La transferència de dades només serà admissible quan el subencarregat hagi implementat tots els requisits previstos a l’article 28 del RGPD, incloses les mesures de seguretat establertes a l’article 32.

3.14.4. El contracte entre l’Encarregat i el subencarregat haurà d’especificar clarament els detalls indicats a l’apartat 1, de manera que es delimiti amb claredat la responsabilitat entre Encarregat i subencarregat. Aquest principi també s’aplicarà a la separació de responsabilitats entre diferents subencarregats.

3.14.5. L’Encarregat informarà el Responsable sobre els aspectes essencials dels contractes signats amb els subencarregats i sobre l’aplicació de les obligacions de protecció de dades previstes en aquests contractes. Si és necessari, el contracte serà posat a disposició del Responsable per a la seva revisió.

3.14.6. No es considerarà subcontractació, segons els termes d’aquest Acord, la contractació de serveis auxiliars per part de l’Encarregat a tercers per facilitar l’execució de l’Acord, com serveis de telecomunicacions, neteja, auditoria o destrucció de suports. Tot i això, per garantir la protecció i seguretat de les dades personals, l’Encarregat haurà de:

  • Signar acords apropiats que compleixin la legislació aplicable.
  • Supervisar les activitats dels tercers que presten serveis auxiliars per garantir el compliment dels estàndards de protecció de dades establerts en aquest Acord.

3.15. Qualsevol transferència de dades a un tercer país requerirà l’aprovació prèvia del Responsable i només serà permesa si es compleixen els requisits establerts als articles 44 i següents del RGPD.

3.16. Si les dades personals del Responsable custodiades per l’Encarregat es veuen compromeses per embargament, confiscació, procediments d’insolvència o qualsevol altra acció o mesura de tercers, l’Encarregat ho haurà de comunicar immediatament al Responsable. Així mateix, haurà de notificar sense demora a totes les parts implicades que la sobirania i titularitat de les dades personals correspon exclusivament al Responsable, d’acord amb el RGPD.

4. Confidencialitat i integritat

4.1. L’Encarregat haurà d’assegurar que totes les persones autoritzades per tractar dades personals subscriguin un compromís escrit de confidencialitat abans de començar qualsevol activitat, d’acord amb l’article 5.1.f del RGPD. Així mateix, el Responsable haurà de garantir que el seu personal estigui degudament informat sobre les obligacions derivades del present Acord, del RGPD i d’altres normatives aplicables en matèria de protecció de dades. També haurà de garantir que coneguin les instruccions impartides pel Responsable. El Responsable serà l’encarregat de controlar el compliment de la normativa sobre protecció de dades i dels termes d’aquest Acord.

4.2. L’obligació de confidencialitat i integritat es mantindrà fins i tot després de la finalització de la relació laboral.

4.3. El Responsable estarà obligat a respectar la confidencialitat de tots els secrets empresarials i mesures de protecció de dades de l’Encarregat que es puguin conèixer durant la relació contractual.

5. Responsabilitat i indemnització

L’Encarregat serà responsable davant del Responsable dels danys o perjudicis ocasionats per un tractament no autoritzat o incorrecte de les dades personals, ja sigui en l’àmbit contractual o extracontractual, d’acord amb el RGPD i altra legislació aplicable en matèria de protecció de dades. Això inclou, en particular:

  • Tractaments de dades que s’apartin de les instruccions del Responsable.
  • Tractaments defectuosos derivats de l’incompliment per part de l’Encarregat de les seves obligacions en virtut del present Acord.

L’Encarregat es compromet a indemnitzar el Responsable i a

eximir-lo de qualsevol reclamació de tercers en aquest context, d’acord amb

l’article 82.3 del RGPD.

6. Durada del contracte

6.1. La durada del present acord es basarà en la durada del contracte principal, sempre que les disposicions del present acord no donin lloc a obligacions que la superin. Aquest acord podrà ser resolt mitjançant notificació escrita amb un preavís de tres mesos a l’altra part.

6.2. En el cas que l’Encarregat incompleixi les seves obligacions definides en el punt 3 del present Acord, o en el cas que l’Encarregat no compleixi amb la prestació dels serveis descrits en el punt 1 del present Acord, i que la petició o recordatori corresponent del Responsable romangui sense resposta durant un període de seixanta dies, el Responsable tindrà dret, sense perjudici de cap altre dret, a resoldre el present Acord per escrit i sense preavís en qualsevol moment.

6.3. Si la transmissió de dades personals es produeix exclusivament en base a una decisió d’adequació segons l’art. 45 del RGPD, el Responsable es reserva el dret a una supressió extraordinària si l’efecte de la decisió d’adequació és o ha estat revocat, modificat o anul·lat d’acord amb l’art. 45.3 segona frase en relació amb el paràgraf 5 del RGPD.

7. Divisibilitat

Si alguna disposició del present Acord és o esdevé totalment o parcialment invàlida, això no afectarà la validesa de la resta del present Acord.

La disposició invàlida serà substituïda per una disposició vàlida que sigui legalment admissible i que reflecteixi, en la mesura del possible, la intenció econòmica i la finalitat de la disposició original.

8. General

8.1. Qualsevol modificació o ampliació del present Acord i de qualsevol dels seus elements constitutius (incloses les garanties atorgades pel responsable del tractament) haurà de constar per escrit. Es podrà fer en format electrònic, sempre que s’especifiqui clarament que es tracta d’un acord escrit que modifica o complementa el present Acord. Aquesta disposició també serà aplicable a la renúncia als requisits relatius a aquest format.

8.2. En cas de discrepància o incoherència entre els termes del present Acord i els del contracte principal, prevaldran els termes establerts en aquest Acord.

8.3. Aquest Acord es regirà per la legislació europea. La jurisdicció exclusiva serà la de Barcelona, Espanya.

B2Brouter Global S.L.

Encàrrec del Tractament   Responsable del Tractament

Annex 1: Mesures tècniques i organitzatives / concepte de seguretat

Les següents TOM (Mesures Tècniques i Organitzatives) s’acorden entre el responsable del tractament i l’encarregat del tractament, i es detallen en aquest cas específic. Per a més referències, consulteu la llista d’exemples.

1. Mesures per garantir la confidencialitat (art. 32 apart. 1 lletra b RGPD)

  • Control d’accés físic

No es permet l’accés no autoritzat als sistemes de tractament de dades.

  • Control d’accés lògic

No es permet l’ús no autoritzat del sistema.
Accés mitjançant canals segurs i autenticació amb clau pública/privada a través de servidor bastió.

  • Control d’accés a les dades

Prohibició de lectura, còpia, modificació o eliminació no autoritzada dins del sistema.

  • Control de separació

Tractament separat de dades recollides per a diferents finalitats.
Les dades dels clients estan separades lògicament.

  • Eliminació de dades

Els discs durs o servidors que ja no s’utilitzen s’esborren diverses vegades d’acord amb la política d’eliminació segura.

2. Mesures per garantir la integritat (art. 32 apart. 1 lletra b del RGPD)

  • Control de transferència

Prohibició de lectura, còpia, modificació o eliminació no autoritzada durant la transmissió o transport electrònic.
La transmissió de dades es fa mitjançant canals xifrats i segurs.
Tots els empleats estan formats i obligats a garantir que les dades personals es tractin d’acord amb l’estàndard de protecció de dades.

  • Control d’entrada

Determinació de si i per qui s’han introduït, modificat o eliminat dades personals en sistemes de tractament de dades, com ara registre, gestió documental, etc.

3. Mesures per garantir la disponibilitat i la resiliència (art. 32.1.b RGPD)

  • Control de disponibilitat

Protecció contra danys o destruccions accidentals o pèrdues mitjançant estratègies de còpies de seguretat i recuperació.

Els sistemes i les dades estan distribuïts en diversos centres de dades situats en diferents països dins de la Unió Europea (Alemanya i Finlàndia).

Pla de continuïtat del negoci per a activitats crítiques i plans de recuperació davant desastres.

  • No hi ha processament de dades per compte del responsable del tractament segons l’art. 28 del RGPD sense instruccions del mateix responsable.
  • Resiliència

Els sistemes i serveis (per exemple, emmagatzematge, accés, capacitat de línia, etc.) estan dissenyats per garantir el funcionament fins i tot amb pics de tensió intermitents o càrregues constants elevades.

Els sistemes i serveis estan disposats en una arquitectura d’alta disponibilitat i són monitoritzats constantment.

Tots els servidors disposen de discs duplicats en mirall (RAID).

S’empren sistemes de seguretat com tallafocs, antivirus, antispam i xifratge.

4. Mesures per a la pseudonimització de dades personals

  • Separació de dades mestres de clients i dades d’usuari de clients.
  • Les dades personals es pseudonimitzen quan sigui necessari.

5. Mesures per restaurar ràpidament la disponibilitat de les dades personals després d’un incident físic o tècnic

  • Emmagatzematge redundant de dades
  • Infraestructura informàtica dual
  • Centre de dades de còpia de seguretat

6. Procediments de revisió, avaluació i valoració regulars (art. 32.1.d i art. 25.1 RGPD)

  • Gestió de la privacitat
  • Gestió de resposta a incidents
  • Protecció de dades per defecte (art. 25.2 RGPD)
  • Avaluació per part del CISO, auditories de seguretat informàtica
  • Avaluació externa, auditories, certificacions ISO27001

Annex 2: Subtractaments

Empresa designada Àmbit de l’encàrrec Lloc de tractament de les dades Categoria de dades
INGENT SYSTEM SL Externalització de programació i activitats informàtiques Vilafranca del Penedès (Espanya) Dades relacionades amb comptes de clients (correus electrònics, noms, comptes bancaris, etc.)
Hetzner Online GmbH Externalització de servidors Gunzenhausen (Alemanya) Sense accés a dades personals
×
Cookies
Usamos cookies. Si te parece bien, simplemente haz clic en «Aceptar todo». También puedes elegir qué tipo de cookies quieres haciendo clic en «Ajustes». Lee nuestra política de cookies
Ajustes Rechazar Aceptar y cerrar
Cookies
Elige qué tipo de cookies aceptar. Tu elección será guardada durante un año. Lee nuestra política de cookies
Guardar preferencias Rechazar Aceptar y cerrar